正文內(nèi)容

軟件工程專業(yè)緩沖區(qū)溢出的保護(hù)實(shí)踐-資料下載頁

2025-06-23 16:55本頁面

　　

【正文】中實(shí)現(xiàn)這個(gè)目的的最初補(bǔ)丁在 1998 年被 Linus Torvalds 拒絕，這是因?yàn)橐粋€(gè)有趣的原因。即使不能將代碼放到堆棧上，攻擊者也可以利用緩沖區(qū)溢出來使程序“返回”某個(gè)現(xiàn)有的子例程（比如 C 庫中的某個(gè)子例程），從而進(jìn)行攻擊。簡(jiǎn)而言之，僅只是擁有非可執(zhí)行的堆棧是不足夠的。一段時(shí)間之后，人們又想出了一種防止該問題的新思路：將所有可執(zhí)行代碼轉(zhuǎn)移到一個(gè)稱為“ASCII 保護(hù)（ASCII armor）”區(qū)域的內(nèi)存區(qū)。要理解這是如何工作的，就必須知道攻擊者通常不能使用一般的緩沖區(qū)溢出攻擊來插入 ASCII NUL 字符（0)這個(gè)事實(shí)。這意味著攻擊者會(huì)發(fā)現(xiàn)，要使一個(gè)程序返回包含 0 的地址是很困難的。由于這個(gè)事實(shí)，將所有可執(zhí)行代碼轉(zhuǎn)移到包含 0 的地址就會(huì)使得攻擊該程序困難多了。具有這個(gè)屬性的最大連續(xù)內(nèi)存范圍是從 0 到 0x01010100 的一組內(nèi)存地址，因此它們就被命名為 ASCII 保護(hù)區(qū)域（還有具有此屬性的其他地址，但它們是分散的）。與非可執(zhí)行的堆棧相結(jié)合，這種方法就相當(dāng)有價(jià)值了：非可執(zhí)行的堆棧阻止攻擊者發(fā)送可執(zhí)行代碼，而 ASCII 保護(hù)內(nèi)存使得攻擊者難于通過利用現(xiàn)有代碼來繞過非可執(zhí)行堆棧。這樣將保護(hù)程序代碼避免堆棧、緩沖區(qū)和函數(shù)指針溢出，而且全都不需重新編譯。然而，ASCII 保護(hù)內(nèi)存并不適用于所有程序；大程序也許無法裝入 ASCII 保護(hù)內(nèi)存區(qū)域（因此這種保護(hù)是不完美的），而且有時(shí)攻擊者能夠?qū)?0 插入目的地址。此外，有些實(shí)現(xiàn)不支持跳板代碼，因此可能必須對(duì)需要這種保護(hù)的程序禁用該特性。Red Hat 的 Ingo Molnar 在他的“execshield”補(bǔ)丁中實(shí)現(xiàn)了這種思想，該補(bǔ)丁由 Fedora 核心（可從 Red Hat 獲得它的免費(fèi)版本）所使用。最新版本的 OpenWall GNU/Linux (OWL)使用了 Solar Designer 提供的這種方法的實(shí)現(xiàn)（請(qǐng)參閱參考資料以獲得指向這些版本的鏈接）。還有其他許多方法。一種方法就是使標(biāo)準(zhǔn)庫對(duì)攻擊更具抵抗力。Lucent Technologies 開發(fā)了 Libsafe，這是多個(gè)標(biāo)準(zhǔn) C 庫函數(shù)的包裝，也就是像 strcpy() 這樣已知的對(duì) stacksmashing 攻擊很脆弱的函數(shù)。Libsafe 是在 LGPL 下授予許可證的開放源代碼軟件。那些函數(shù)的 libsafe 版本執(zhí)行相關(guān)的檢查，確保數(shù)組改寫不會(huì)超出堆棧楨。然而，這種方法僅保護(hù)那些特定的函數(shù)，而不是從總體上防止堆棧溢出缺陷，并且它僅保護(hù)堆棧，而不保護(hù)堆棧中的局部變量。它們的最初實(shí)現(xiàn)使用了 LD_PRELOAD ，而這可能與其他程序產(chǎn)生沖突。Linux 的 Mandrake 發(fā)行套件包括了 libsafe。借助知識(shí)、謹(jǐn)慎和工具，C 和 C++ 中的緩沖區(qū)溢出缺陷是可以防止的。不過做起來并沒有那么容易，特別是在 C 中。如果使用 C 和 C++ 來編寫安全的程序，您需要真正理解緩沖區(qū)溢出和如何防止它們。一種替代方法是使用另一種編程語言，因?yàn)槿缃竦膸缀跗渌姓Z言都能防止緩沖區(qū)溢出。但是使用另一種語言并不會(huì)消除所有問題。許多語言依賴 C 庫，并且許多語言還具有關(guān)閉該保護(hù)特性的機(jī)制（為速度而犧牲安全性）。但是即便如此，不管您使用哪種語言，開發(fā)人員都可能會(huì)犯其他許多錯(cuò)誤，從而帶來引入缺陷。 5．參考文獻(xiàn)【1】蔣佳，劉新喜，信息安全工程，機(jī)械工業(yè)出版社，【2】FlashSky ，Windows 2003堆溢出及其利用技術(shù)深入研究，【3】FlashSky，緩沖區(qū)溢出漏洞發(fā)掘模型，【4】李濤，網(wǎng)絡(luò)安全概論，北京：電子工業(yè)出版者，【5】啟明星辰認(rèn)證安全技術(shù)工程師培訓(xùn)【6】網(wǎng)絡(luò)信息安全概論【7】Willian Stallings，網(wǎng)絡(luò)安全基礎(chǔ)教程（第二版），清華大學(xué)出版社，【8】闕喜戎 ,趙　耀 ,王　純 ,龔向陽，Windows系統(tǒng)中基于緩沖區(qū)溢出的攻擊的分析，【9】姚奇富，網(wǎng)絡(luò)安全技術(shù)，浙江大學(xué)出版社，2006，145頁【10】姚建東,秦軍,古志民，兩種新的緩沖區(qū)溢出攻擊原理及防范，2006，5頁9 / 9

點(diǎn)擊復(fù)制文檔內(nèi)容

環(huán)評(píng)公示相關(guān)推薦

北京理工軟件工程實(shí)踐：軟件工程實(shí)踐8測(cè)試-資料下載頁

【總結(jié)】北京理工大學(xué)軟件工程實(shí)踐湯銘端中國航天科工集團(tuán)公司204所第八講軟件測(cè)試內(nèi)容和目的?測(cè)試的目的和策略?測(cè)試的活動(dòng)?測(cè)試的產(chǎn)品?測(cè)試的方法和度量要求?測(cè)試用例構(gòu)造技術(shù)測(cè)試的目標(biāo)?Myers?測(cè)試是一個(gè)為了尋找錯(cuò)誤而運(yùn)行的過程?一個(gè)好的測(cè)試用例是指很可能找到

2025-05-19 18:45

軟件工程專業(yè)考試-資料下載頁

【總結(jié)】廈門大學(xué)《軟件體系結(jié)構(gòu)》課程試卷軟件學(xué)院系2010秋季年級(jí)軟件工程專業(yè)主考教師：王備戰(zhàn)試卷類型：（A卷）三、請(qǐng)書寫一個(gè)類，該類只能產(chǎn)生同一個(gè)對(duì)象。（10分）PublicclassSingleton{PrivatestaticfinalSingletonsingleton=newSingleton();P

2025-06-24 14:14

北京理工軟件工程實(shí)踐：軟件工程實(shí)踐16a-資料下載頁

【總結(jié)】北京理工大學(xué)軟件工程實(shí)踐湯銘端中國航天科工集團(tuán)公司204所第十六講歐洲宇航局（ESA）阿麗亞娜5501飛行失敗案例分析阿麗亞娜5501飛行故障分析報(bào)告說明?分析和報(bào)告主要基于ESA的報(bào)告匯報(bào)分六個(gè)部分：?501飛行?事故描述?事故分析?產(chǎn)生故障的原因

2024-10-09 17:08

軟件工程綜合實(shí)踐報(bào)告-資料下載頁

【總結(jié)】軟件工程綜合實(shí)踐報(bào)告企業(yè)用電管理系統(tǒng)設(shè)計(jì)專業(yè)學(xué)生姓名班級(jí)學(xué)號(hào)指導(dǎo)教師完成日期信息工程學(xué)院目錄1．項(xiàng)目名稱：企業(yè)用電管理系統(tǒng).......

2024-10-07 02:38

軟件工程專業(yè)軟件工程實(shí)訓(xùn)資料教學(xué)大綱-資料下載頁

【總結(jié)】《軟件工程專業(yè)軟件工程實(shí)訓(xùn)》教學(xué)大綱課程代碼1103411課程所屬模塊/課程性質(zhì)應(yīng)用創(chuàng)新課程課程名稱軟件工程實(shí)訓(xùn)總學(xué)時(shí)/學(xué)分54/3開設(shè)學(xué)期6考核方式考查先修課程軟件工程概論、軟件需求分析、軟件設(shè)計(jì)與體系結(jié)構(gòu)適用專業(yè)軟件工程課程設(shè)計(jì)指導(dǎo)書《軟件工程實(shí)訓(xùn)教程》自編教材大綱執(zhí)筆人蔡勇大綱審核人曾

2025-06-25 00:26

軟件工程實(shí)踐個(gè)人總結(jié)-資料下載頁

【總結(jié)】軟件工程實(shí)踐個(gè)人總結(jié)學(xué)號(hào)：在這個(gè)學(xué)期的軟件工程實(shí)踐課中，我們小組所選的題目為XXX公司全國銷售管理系統(tǒng)。按照這個(gè)題目及相關(guān)需求，我們小組對(duì)選題進(jìn)行了需求分析、模塊設(shè)計(jì)、系統(tǒng)設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)、用戶界面設(shè)計(jì)等，并積極完成相應(yīng)的開發(fā)編碼工作，后又對(duì)開發(fā)的系統(tǒng)進(jìn)行了相應(yīng)功能的測(cè)試工作。對(duì)項(xiàng)目的理解我們項(xiàng)目小組制作的的是XXX全國銷售管理系統(tǒng)，該公司考慮進(jìn)行集約化經(jīng)營模式，進(jìn)軍電子商務(wù)領(lǐng)域

2025-08-05 15:49

北京理工軟件工程實(shí)踐：軟件工程實(shí)踐3結(jié)構(gòu)化-資料下載頁

【總結(jié)】北京理工大學(xué)軟件工程實(shí)踐湯銘端中國航天科工集團(tuán)公司204所第三講結(jié)構(gòu)化方法內(nèi)容和目的?了解結(jié)構(gòu)化方法的產(chǎn)生和有關(guān)概念?掌握結(jié)構(gòu)化方法的基本原則?了解結(jié)構(gòu)化分析、設(shè)計(jì)、編程方法的基本內(nèi)容?了解軟件開發(fā)的一般原則軟件開發(fā)方法?軟件開發(fā)方法是軟件開發(fā)過程所遵循的方法和步驟，其目的在于有效

2025-08-01 14:56

軟件工程軟件服務(wù)工程專業(yè)-資料下載頁

【總結(jié)】軟件工程（軟件服務(wù)工程）專業(yè)廈門軟件與服務(wù)外包學(xué)院廈門理工學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系軟件工程教研室提綱一、背景二、本專業(yè)現(xiàn)狀三、素質(zhì)和能力要求四、人才培養(yǎng)模式五、就業(yè)發(fā)展六、學(xué)習(xí)方法&師資軟件外包?所謂軟件外包

2024-09-20 21:49

軟件工程實(shí)踐心得-資料下載頁

【總結(jié)】第一篇：軟件工程實(shí)踐心得軟件工程（SE）軟件是計(jì)算機(jī)系統(tǒng)中與硬件相互依存的另一部分，它包括程序、相關(guān)數(shù)據(jù)及其說明文檔。軟件工程（SoftwareEngineering,簡(jiǎn)稱為SE）是針對(duì)軟件這...

2024-10-28 15:50

軟件工程專業(yè)-2010專業(yè)-資料下載頁

【總結(jié)】軟件工程專業(yè)介紹軟件工程專業(yè)?2022年開始面向全國招收全日制軟件工程專業(yè)本科生。?2022、2022屆共畢業(yè)學(xué)生110人。其中，考取211大學(xué)碩士研究生有12人（史上最牛考上浙江大學(xué)）、就業(yè)率100%（其中2人創(chuàng)建了自己的公司）。師資情況?現(xiàn)有高級(jí)職稱的教師3名，中級(jí)職稱的教師5名。其中，兩名教師在

2024-09-20 21:46

gis緩沖區(qū)分析與疊置分析應(yīng)用-資料下載頁

【總結(jié)】GIS緩沖區(qū)分析與疊置分析應(yīng)用空間分析是GIS系統(tǒng)的重要功能之一，是GIS系統(tǒng)與計(jì)算機(jī)輔助繪圖系統(tǒng)的主要區(qū)別。空間分析的對(duì)象是一系列跟空間位置有關(guān)的數(shù)據(jù)，這些數(shù)據(jù)包括空間坐標(biāo)和專業(yè)屬性兩部分。其中空間坐標(biāo)用于描述實(shí)體的空間位置和幾何形態(tài)；專業(yè)屬性則是實(shí)體某一方面的性質(zhì)。MAPGIS空間分析子系統(tǒng)提供了一系列數(shù)據(jù)操作功能，如緩沖區(qū)分析、疊置分

2025-08-16 23:25

軟件工程專業(yè)實(shí)習(xí)日記-資料下載頁

【總結(jié)】星期一今天，我懷著激動(dòng)的心情來到單位，這是我第一天工作，實(shí)習(xí)的第一天，我很早就來到了單位，經(jīng)理給我找來了名簽讓我?guī)?，安排了我的工作位置和工作任?wù)。我上午工作，下午接受培訓(xùn)，在這里，我才真正的意識(shí)到實(shí)施一個(gè)軟件工程并不是說簡(jiǎn)單的會(huì)編碼就能夠解決問題的，更多的精力不是放在編碼上，編碼只

2024-10-04 19:13

軟件工程專業(yè)外文翻譯-資料下載頁

【總結(jié)】54英文原文SSHisSpring+struts+Hibernateanintegrationframework,isoneofthemorepopularaWebapplicationframework.SpringLightweight--fromtwoaspectsintermsofsize

2024-10-21 11:10

軟件工程專業(yè)----開題報(bào)告-資料下載頁

【總結(jié)】遼寧工程技術(shù)大學(xué)本科畢業(yè)設(shè)計(jì)(論文)開題報(bào)告題目和豐牧業(yè)海城分公司辦公自動(dòng)化系統(tǒng)指導(dǎo)教師齊向明院(系、部)軟件學(xué)院專業(yè)班級(jí)財(cái)升本10-01班

2025-08-05 17:26

軟件工程專業(yè)術(shù)語-資料下載頁

【總結(jié)】軟件工程專業(yè)術(shù)語-8．軟件開發(fā)環(huán)境-7．錯(cuò)誤推測(cè)法-6．軟件質(zhì)量保證-5．瀑布模型-4.軟件危機(jī)-3.軟件工程-2.軟件生存周期-1.軟件生存周期模型0.軟件開發(fā)方法1、需求分析2、白盒法3、黑盒法4、漸增式測(cè)試5、非漸增式測(cè)試6、可執(zhí)行的規(guī)格說明7、經(jīng)濟(jì)可行性8、系統(tǒng)設(shè)計(jì)說明書9、面向?qū)ο笤O(shè)計(jì)10、結(jié)構(gòu)化設(shè)

2025-06-23 16:55

freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片